ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

YouTube Daily Digest

v1.0.0

每日 YouTube AI/产品/科技播客更新摘要。零配置:装了 OpenClaw + 飞书 bot 就能直接用。 自动抓取 13 个精选频道最新视频字幕,AI 生成中文梗概,飞书卡片推送。 触发词:YouTube 每日推送、播客摘要、daily digest、订阅更新。

0· 143·0 current·0 all-time
byJadeyang7458@jadeyang7458-byte

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for jadeyang7458-byte/youtube-daily-digest.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "YouTube Daily Digest" (jadeyang7458-byte/youtube-daily-digest) from ClawHub.
Skill page: https://clawhub.ai/jadeyang7458-byte/youtube-daily-digest
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install youtube-daily-digest

ClawHub CLI

Package manager switcher

npx clawhub@latest install youtube-daily-digest
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Suspicious
high confidence
!
Purpose & Capability
技能声明:抓取 YouTube 字幕、调用本地 OpenClaw Gateway(Claude)、将摘要推送到飞书。代码和说明大体吻合,但仓库包含 scripts/config.json,其中明文硬编码了 feishu app_id/app_secret、user_open_id 和 gateway token,这与“零配置”与“自动从 ~/.openclaw/openclaw.json 读取”的说法相矛盾。硬编码凭据在此用途中不是必需且不合比例。
!
Instruction Scope
SKILL.md 与 scripts/digest.py 指示会自动读取用户主目录下的 ~/.openclaw/openclaw.json 和 ~/.openclaw/identity。这意味着运行脚本会访问本地的 OpenClaw 配置并使用其中的 tokens,而这些读取操作没有在技能元数据中声明(metadata 列出无必需 env/config)。自动读取本地账户/授权数据是重要的权限边界,用户应当知晓并同意。
Install Mechanism
没有复杂的安装脚本或外部二进制下载;SKILL.md 建议通过 pip 安装两个常见包(youtube-transcript-api, openai)。这是低到中等风险的常规依赖安装。
!
Credentials
技能元数据宣称无必需 env,但代码会读取多处凭据来源(~/.openclaw/openclaw.json、~/.openclaw/identity、可选的 FEISHU_USER_OPEN_ID env),并仓库中包含明文 credentials(scripts/config.json)。请求/使用的凭据数量和位置(本地 OpenClaw 配置 + 硬编码 secrets)与“零配置、无需凭据”的说明不一致且增加风险。
Persistence & Privilege
没有设置 always:true,也不修改其他技能或系统级配置。SKILL.md 建议可用 openclaw cron 添加定时任务,这会让脚本定期运行,但这是用户显式的操作而非强制性的。
Scan Findings in Context
[hardcoded-credential-in-config.json] unexpected: scripts/config.json 包含明文 feishu app_id、app_secret、user_open_id 和 openclaw gateway token(看起来像真实凭据)。这不是技能正常运行所必需的(脚本也会从 ~/.openclaw/openclaw.json 读取同类信息),硬编码凭据会导致凭据泄露或误导用户以为可直接使用。
What to consider before installing
要点和建议操作: - 切勿直接运行或把该 skill 加入定时任务,直到你确认凭据来源并处理硬编码密钥。 - 仓库 scripts/config.json 中的 app_secret 和 gateway token 看起来是真实/可用的敏感凭据:如果这些是你的凭据,立即撤销/更换;如果不是你的凭据,谨慎——可能是示例/泄露值,无法信任。 - 注意脚本会自动读取 ~/.openclaw/openclaw.json 与 ~/.openclaw/identity;这些文件通常包含你本地的令牌和 OpenClaw 配置。只有在信任并理解后才允许脚本访问这些路径。 - 最安全的做法:在运行前把仓库中的任何 credentials/remove 明文凭据,改用明确的环境变量或经用户确认的配置文件,并在受控/隔离的环境(例如单用户容器或虚拟机)中测试。 - 检查并限制飞书应用权限(最小权限原则),为该 skill 创建专用 bot/凭据并在确认行为后再启用定时任务。 - 如果你无法验证技能来源或作者身份,考虑不要安装或仅在隔离环境中试用。

Like a lobster shell, security has layers — review code before you run it.

latestvk977951a0rjnp1pp3q7mbpz88d83mfd8
143downloads
0stars
1versions
Updated 1mo ago
v1.0.0
MIT-0
Jadeyang7458@jadeyang7458-byte
latest
Download

YouTube Daily Digest

每天自动推送 AI/产品/科技领域 13 个精选 YouTube 频道的更新摘要。

零配置使用

pip3 install youtube-transcript-api openai --break-system-packages
cd path/to/youtube-daily-digest
FEISHU_USER_OPEN_ID=用户的open_id python3 scripts/digest.py

脚本自动从 ~/.openclaw/openclaw.json 读取飞书 appId/appSecret 和 Gateway token。

定时推送

openclaw cron add \
  --name "youtube-daily-digest" \
  --cron "0 11 * * *" \
  --tz "America/New_York" \
  --description "每日 YouTube 播客摘要推送" \
  --message "cd ~/.openclaw/workspace/skills/youtube-daily-digest && FEISHU_USER_OPEN_ID=用户open_id python3 scripts/digest.py" \
  --session isolated --timeout 600000 --announce --channel feishu

用户要添加/删除频道时

直接编辑 scripts/digest.py 顶部的 CHANNELS 列表。channel_id 获取方式见 references/setup.md

踩坑指南(重要,必读)

详见 references/setup.md,包含所有已验证的坑和解决方案。

内置频道

Lex Fridman · Lenny's Podcast · a16z speedrun · Latent Space · AI Engineer · Aakash Gupta · App Breakdown · WhynotTV · Ben Erez · Brock Mesarich · David Ondrej · Paul J Lipsky · Ali H. Salem

技术架构

YouTube 原生 Atom RSS → 获取最新视频列表(不需要 Docker/RSSHub)
                ↓
youtube-transcript-api → 免费获取英文字幕(yt-dlp 备用)
                ↓
OpenClaw Gateway → 调用 Claude 生成中文标题翻译 + 梗概
                ↓
飞书互动卡片推送 → 蓝色主题,含序号/频道名/标题/中文翻译/梗概

Comments

Loading comments...